Елена Герасименко, старший консультант Группы консультирования в области ИТ, KPMG в Казахстане и Центральной Азии

«Я рада представить вашему вниманию статью Винсента Маре, партнера и руководителя практики по оказанию услуг в области кибербезопасности KPMG во Франции – «Страхование киберрисков: возможность стать лидером на развивающемся рынке». Сегодня по мере роста числа кибератак и регулярного освещения в СМИ случаев кражи или потери данных клиентов крупными корпорациями, необходимость получения эффективных услуг по страхованию киберрисков становится приоритетным вопросом для компаний во всем мире. Растущая потребность в услугах, ситуация на рынке и осведомленность о существующих рисках создают благоприятные возможности для страховых компаний, которые готовы действовать уже сейчас, чтобы получить свою долю на рынке и завоевать доверие клиентов. Какие четыре аспекта следует учитывать страховым компаниям, чтобы повысить уровень знаний об этом набирающем популярность типе страхования, рассказывает в своей статье Винсент Маре.

В казахстанском информационном пространстве, как, впрочем, и во всем мире, прослеживается постоянный и устойчивый тренд к учащению кибератак, обусловленный неугасающим интересом злоумышленников к защищаемым данным финансового сектора, юридических и государственных организаций. Однако, несмотря на стремительный рост рынка страхования от киберрисков в мировом масштабе, уровень востребованности страховых услуг в Казахстане остается низким. Но в скором времени ситуация может начать меняться к лучшему – Национальный банк РК инициирует новые, более строгие правила обеспечения информационной безопасности для банков и прочих организаций, связанных с предоставлением финансовых услуг с 1 декабря 2018».

Автор: Винсент Маре, партнер и руководитель практики по оказанию услуг в области кибербезопасности KPMG во Франции

Сегодня количество кибератак стремительно растет. Хакеры все чаще используют уязвимости систем безопасности для кражи ценных данных клиентов, включая финансовые сведения и конфиденциальные персональные данные. Для крупных компаний подобные атаки означают не только потерю данных. Громкий общественный резонанс, утрата доверия клиентов и серьезные штрафы со стороны регулирующих органов – таковы последствия всего лишь одной успешной кибератаки, которая может парализовать работу всей компании, нанести ущерб репутации и доходам на многие последующие годы.

Несмотря на то что риски кибератак вполне реальны, многие компании еще не нашли оптимального средства борьбы с ними. Результаты Глобального опроса руководителей крупных корпораций, проведенного KPMG в 2018 году, показывали, что многие респонденты относятся к кибератакам на свой бизнес как к неизбежности, а 68% руководителей американских компаний назвали это лишь вопросом времени. При этом только 51% руководителей компаний из разных стран отметили, что они хорошо подготовлены к кибератакам.

Сейчас компании всех размеров пытаются определить и оценить уровень уязвимости своих систем и применять меры реагирования на постоянно растущие цифровые угрозы и целенаправленные кибератаки. Это серьезная проблема, с которой корпорациям могут помочь справиться страховые компании.

Страхование киберрисков набирает популярность

Рынок страхования киберрисков – небольшая, но постепенно растущая часть сектора услуг страхования, которые позволяют компаниям защититься от цифровых угроз. По оценкам Allianz, в настоящее время размер страховых премий в секторе киберстрахования составляет 2 млрд долларов США в мире, при этом на долю рынка США приходится около 90%. Однако по мере роста числа кибератак и регулярного освещения в СМИ случаев кражи или потери данных клиентов крупными корпорациями, необходимость получения эффективных услуг по страхованию киберрисков становится приоритетным вопросом для компаний. Ожидается, что к 2025 году страховые премии в этом секторе по всему миру достигнут 20 млрд долл. США (Руководство по управлению киберрисками, Alianz).

Растущая потребность в услугах, ситуация на рынке и осведомленность о существующих рисках создают благоприятные возможности для страховых компаний, которые готовы действовать уже сейчас, чтобы получить свою долю на рынке и завоевать доверие клиентов.

Проблемы страхования киберрисков

Несмотря на широкие возможности, предоставление услуг в области страхования киберрисков сопровождается рядом сложностей.

Большинство страховых продуктов были разработаны на основании актуарно обоснованных, агрегированных общих данных за несколько десятков лет, поэтому услуги в области киберстрахования считаются связанными с бóльшими рисками: ведь этот вид страхования появился совсем недавно, а информация о сопутствующих рисках и уязвимостях также является более фрагментированной. Чтобы лучше понять и оценить киберриски страховые компании могут воспользоваться Общим регламентом по защите данных (GDPR), в соответствии с которым определенные фирмы обязаны предоставлять декларации данных. При этом сложно сказать, в каком объеме страховые компании cмогут сейчас или в будущем получить доступ к раскрытым данным GDPR.

Оценка риска и суммы цифровых рисков также затруднена: многие страховые компании сталкиваются со сложностью формирования цен на продукты в этой сфере. Кроме того, на рынке существует некая неопределенность относительно того, предоставляются ли услуги по страхованию от кибератак в рамках текущего договора страхования и соответствующего объема страхового покрытия.

Еще один фактор, который необходимо учитывать, состоит в том, что, поскольку компании владеют большими объемами строго конфиденциальных данных о клиентах, страховые компании сами по себе могут стать основной целью кибератак. Страховые компании модифицируют устаревшие системы и выполняемые вручную процессы и становятся более зависимы от новых технологий и платформ, что увеличивает соответствующий риск совершения атак и потребность в услугах по обеспечению киберзащиты. Это означает, что вопросы кибербезопасности должны стать приоритетом для всех страховых компаний независимо от клиентской базы, которой предоставляются услуги, и типа страхового покрытия.

Что нужно делать?

Страховым компаниям, которые хотят повысить уровень знаний об этом набирающем популярность типе страхования, необходимо обратить внимание на следующие четыре аспекта:

1. Проактивность. Проактивное определение уровня зрелости систем обеспечения безопасности клиентских данных поможет страховым компаниям оценить потенциальные последствия кибератак для бизнеса и его клиентов еще до самой атаки. Это не только обеспечивает определенную ценность для ряда клиентов, но и позволяет снизить отдельные области риска, а также сформировать структуру и определить цены на продукты в области киберстрахования.
2. Обучение. Несмотря на частые случаи совершения кибератак, некоторые клиенты не в полной мере осознают потенциальные риски и их последствия, а также то, какие услуги им доступны. Тщательно продуманные специализированные образовательные кампании, посвященные вопросам киберрисков и стратегиям снижения их последствий, могут помочь клиентам оценить необходимость в услугах и понять, какие существуют типы страхования киберрисков.
3. Сотрудничество для сбора данных. Совместная работа страховых компаний, профессиональных ассоциаций и регулирующих органов позволит создать объем данных, необходимых для надлежащего структурирования, ценообразования и продажи услуг в области страхования киберрисков как основной составляющей общего страхового профиля любой фирмы.
   
4. Ориентированность на мелких клиентов. Кибератаки могут быть направлены на организацию любого размера, а также отдельных специалистов, таких как юристы и врачи, которые имеют доступ к конфиденциальной информации. Продукты в области страхования киберрисков для таких небольших участников рынка – это огромный и практически еще неосвоенный рынок.
   

Киберстрахование представляет собой быстро растущий сегмент общего рынка услуг страхования. Страховые компании, которые сделают ключевые шаги уже сейчас, смогут занять лидирующие позиции на этом новом, все более актуальном рынке.

Автор

Винсент Маре, партнер и руководитель практики по оказанию услуг в области кибербезопасности KPMG во Франции.

Винсент более 20 лет работает в сфере аудита и предоставления консультационных услуг в области обеспечения кибербезопасности и защиты персональных данных, в первую очередь в вопросах управления, обеспечения операционных и технологических процессов. В KPMG он занимает должность руководителя группы специалистов по поддержке клиентов в вопросах соблюдения требований GDPR, подготовке обзоров архитектуры систем безопасности, проведению тестов на проникновение, определения и управления политикой безопасности и т. д.